Прогрессивный фишинг: как PWA могут использовать для угона паролей

Исследователь безопасности под ником mr.d0x опубликовал пост, описывающий новую методику, которая может быть использована для фишинга, а также, вероятно, и для другой вредоносной деятельности. Эта методика эксплуатирует так называемые прогрессивные веб-приложения (PWA, progressive web app). В этом посте мы разберемся, что же это за приложения, почему они могут быть опасны, как именно злоумышленники могут использовать их в своих целях и как от этой угрозы защититься.

Что такое прогрессивные веб-приложения

Прогрессивные веб-приложения — это один из способов разработки приложений с использованием веб-технологий. Грубо говоря, это веб-сайты, которые выглядят и работают совсем как нативные приложения, установленные у вас в операционной системе.

Общий принцип похож на устройство приложений, использующих фреймворк Electron, но с важным отличием. Electron-приложения — это своего рода «бутерброд» из веб-сайта и браузера, в котором этот сайт открывается, — то есть в каждое Electron-приложение встроен свой собственный браузер. А PWA для отображения того же веб-сайта используют движок того браузера, который уже установлен у пользователя в системе.

Поддержка прогрессивных веб-приложений есть во всех современных браузерах, но наиболее полно она реализована в Google Chrome и браузерах, построенных на проекте Chromium, — в том числе встроенном в Windows браузере Microsoft Edge.

Установить прогрессивное веб-приложение (если сайт в принципе предусматривает такую возможность) очень просто. Для этого достаточно нажать на неприметную кнопку в адресной строке браузера и подтвердить установку. Вот как это делается на примере прогрессивного веб-приложения сервиса Google Drive.

Прогрессивные веб-приложения устанавливаются буквально в два клика

После этого у вас в системе практически мгновенно появляется PWA, которое выглядит совсем как настоящее приложение, — с иконкой, собственным окном и всеми другими атрибутами полноценной программы. При этом понять по окну прогрессивного веб-приложения, что на самом деле это браузер, в котором открыт некий веб-сайт, не так-то просто.

PWA-приложение Google Drive выглядит совсем как настоящее «нативное» приложение

Фишинг на основе прогрессивных веб-приложений

Одно из важных отличий прогрессивного приложения от того же самого сайта, открытого в браузере, вы можете увидеть на скриншоте выше: в окне PWA-приложения нет адресной строки. Собственно, на этой особенности и построен фишинговый метод, о котором идет речь в этом посте.

Ведь если адресной строки в окне нет, значит, злоумышленник может… нарисовать собственную, отобразив в строке тот адрес, который будет выгоден для фишинга! Например, вот такой:

С помощью прогрессивного веб-приложения можно очень убедительно имитировать любой сайт — например, страницу входа в учетную запись Microsoft. Источник

Также потенциальный злоумышленник может снабдить PWA-приложение какой-нибудь знакомой иконкой, чтобы дополнительно усыпить бдительность жертвы.

Единственное, что необходимо киберпреступнику для успеха, — каким-то образом убедить пользователя установить прогрессивное веб-приложение. Но и это не так уж сложно сделать, если использовать правильные слова и элементы интерфейса.

Важно и то, что в диалоге установки прогрессивного веб-приложения название этого приложения может быть каким угодно, а истинное его происхождение выдает лишь адрес сайта, который написан на второй строчке и меньше бросается в глаза.

В диалоге установки вредоносного PWA отображается то название, которое выгодно злоумышленнику. Источник

Процесс кражи пароля с использованием прогрессивного веб-приложения выглядит примерно так:

• жертва открывает опасный сайт;
• этот сайт убеждает жертву установить PWA;
• практически мгновенно происходит установка и открывается окно PWA;
• далее уже в окне PWA открывается фишинговая страница с поддельной адресной строкой с «правильным» адресом;
• после того как жертва вводит логин и пароль в форму, они попадают в руки злоумышленников.

Как выглядит фишинг с использованием вредоносного PWA. Источник

Конечно, с тем же успехом можно убедить жертву установить и нативное приложение — но есть пара нюансов: в отличие от инсталляции полноценных приложений, установка PWA происходит гораздо быстрее и требует значительно меньше действий со стороны пользователя.

К тому же PWA проще в изготовлении — ведь по сути это всего лишь фишинговый сайт с небольшими добавками. Поэтому вредоносные PWA могут стать эффективным инструментом для злоумышленников.

Как защититься от фишинга с использованием PWA

Кстати, тот же mr.d0x ранее уже отметился изобретением фишинговой методики под названием Browser-in-the-Browser — мы писали о ней пару лет назад. За прошедшее время стало известно о нескольких случаях использования этой методики злоумышленниками, причем не только для кражи паролей от аккаунтов, но также и для распространения ransomware.

Так что есть все шансы на то, что киберпреступники возьмут на вооружение и вредоносные PWA — а заодно придумают и какие-то новые сценарии применения этой методики вдобавок к фишингу.

Что можно сделать для защиты от данной угрозы?

• С осторожностью относитесь к PWA-приложениям и не устанавливайте их с подозрительных сайтов.
• Время от времени проверяйте, какие прогрессивные веб-приложения установлены у вас в системе. Например, в Google Chrome для этого надо в адресной строке ввести chrome://apps — там же можно удалить установленные PWA.

Чтобы посмотреть или удалить установленные PWA-приложения в Google Chrome, введите в адресной строке chrome://apps

• Используйте надежное решение с защитой от фишинговых и мошеннических сайтов, которое вовремя предупредит вас об опасности.